Leonardo Caríssimi
Nos últimos doze meses, vivenciamos uma aceleração sem precedentes na Transformação Digital dos negócios. Em decorrência da pandemia Covid-19 a Transformação Digital deixou de ser um item de diferenciação e inovação das empresas no mercado e passou a ser um tema de sobrevivência para muitos negócios. Além disso, neste período de tempo muitas empresas adotaram o Home Office de forma massiva. De forma similar à Transformação Digital, este tema não é novidade mas sofreu por um impulso especial em tempos de Covid-19. Ainda, pelas mesmas razões, este foi o ano da explosão definitiva do comércio eletrônico, das redes sociais, dos aplicativos de investimentos, dos jogos online, das plataformas de streaming, e das criptomoedas.
Em resumo, nos últimos doze meses o mundo todo passou por uma aceleração brutal na digitalização. Será que estamos preparados para isso, como sociedade, do ponto de vista de segurança cibernética?
As recentes notícias de mega vazamentos de dados ligam um importante sinal de alerta: talvez não estejamos.
Mas, então, o que fazer?
Abaixo apresentamos cinco pontos que consideramos fundamentais para responder aos desafios de ciber segurança atuais:
- Identifique os riscos ao negócio: A segurança cibernética deve ser tratada como um tema de negócios. Da mesma forma que as questões de responsabilidade social, ambiental e governança, os temas de segurança cibernética devem ser entendidos como parte da estratégia do negócio. Nunca deveria ser tratado como um item de custo dentro do orçamento de Tecnologia; mas esta prática foi observada nas empresas nos últimos 20 anos, e ainda é. Mas não é mais aceitável, é definitivamente pauta de diretoria, um tema relevante para o negócio. E, sendo assim, antes de mais nada, é fundamental avaliar o nível de maturidade do Programa de Segurança Cibernética do negócio. Identificar os riscos, avalia-los e tomar decisões acerca de quais são aceitáveis e quais não são; quais devem ser mitigados, como e quando; e executar ações emergenciais para mitigação dos riscos considerados excessivamente altos para o negócio. E assegurar que o Programas de Segurança Cibernética funcione de forma permanente fazendo uma gestão adequada dos riscos.
- Gestão de Identidades: Um tema recorrente quando fazemos avaliações de riscos em nossos clientes é a Gestão de Identidades. A complexidade e o dinamismo dos processos e sistemas nos negócios atuais torna bastante desafiador o controle de quem acessa qual dado, e porquê. Mas o acesso não autorizado sempre esteve na origem de muitos vazamentos, fraudes, e outros ciber incidentes graves. Por isso uma Gestão de Identidades falha representa um alto risco para o negócio. Recomenda-se mapear as funções do negócio e suas necessidades de acesso a dados; perfis de acesso aos sistemas; definir processos de concessão, alteração, revogação de acesso; e automatizar de forma eficiente estes mapeamentos e processos.
- Segurança das suas Aplicações: Conforme comentamos no início do texto, o desafio atual da segurança cibernética é a aceleração sem precedentes da Transformação Digital, e o aumento exponencial de uso de sistemas online – comércio eletrônico, jogos, aplicativos mais diversos. Então, a segurança dos aplicativos é chave. As pressões dos negócios por processos ágeis e rápida oferta de serviços e funcionalidades não podem impactar a qualidade e a segurança dos aplicativos e serviços online disponibilizados. A segurança deve ser parte integrante da esteira de desenvolvimento, e avaliar os riscos, as funcionalidades de segurança incorporadas, as vulnerabilidades do código e arquitetura das aplicações nos diferentes estágios do processo. Inclusive com o produto pronto e já disponível, por meio de varreduras de vulnerabilidades periódicas.
- Segurança na Nuvem: De forma similar, onde temos rápida migração de cargas de dados e aplicações para ambientes de nuvem pública, temos riscos de não estar atuando com a arquitetura, funcionalidades e controles de segurança mais adequados para este ambiente. Não que a nuvem pública seja insegura! Mas, observa-se que muitos negócios não têm claras as suas responsabilidades em termos de segurança neste ambiente, considerando que alguns controles críticos de segurança são automaticamente tratadas pelo provedor de nuvem, quando na realidade é responsabilidade do negócio. Importante fazer uma análise caso a caso de responsabilidades – o que inclui considerar qual modelo de serviço contratado: IaaS, PaaS ou SaaS. A regra geral é o que é conhecido como Modelo de Responsabilidade Compartilhada, em que os clientes são responsáveis por escolher como seus dados são tratados NA nuvem, e o provedor é responsável pela segurança DA nuvem.
- Operações de Segurança: Um outro item que merece destaque é o de manter operações de segurança cibernética adequadas ao tamanho do negócio. Assegurar que controles e ferramentas adotadas para mitigar os riscos estejam funcionamento e eficazes: coletar e monitorar logs, identificar eventos suspeitos, aplicar técnicas de inteligência de ameaças, gerir de forma eficaz as soluções de segurança perimetral, soluções de segurança de endpoints (antivírus, Data Loss Prevention, entre outras), soluções de segurança de bancos dados, e assim por diante. Estas operações tipicamente vão requerer cobertura em regime 24×7 e podem ser desafiadoras para times enxutos de segurança cibernética das empresas, mas felizmente há um mercado maduro e importante globalmente para prestação de Serviços Gerenciados de Segurança que pode apoiar.
Vale lembrar que este ano de 2021 é justamente o ano em que no Brasil a Lei Geral de Proteção de Dados (LGPD) vai entrar em vigor em sua totalidade, incluindo aplicação de sanções administrativas e multas. Ou seja, a inobservância de boas práticas de governança de riscos cibernéticos e de privacidade passará a ter novas consequências (e bem tangíveis) para os negócios: multas milionárias, suspensão de operações, danos à imagem, entre outas. Não respeitar os direitos dos titulares de dados e negligenciar a segurança cibernética vai custar caro. Não que hoje já não custe caro! Mas uma nova avenida, regulatória, se abre para potencializar o impacto econômico de ciber incidentes que envolvam vazamento de dados pessoais